首先是现象,部署的服务异常卡顿连接巨慢,Redis缓存总是莫名其妙的丢失。然后看运行服务的机器正常,但是运行中间件的机器…CPU满了,而且,发现了/tmp目录下的确有类似挖矿木马的进程。
尝试kill掉对应的程序,但是才不出一分钟就会自动启动,也就是说有一个类似定时器的东西在背后控制他,那我们就要找到这个定时器在哪。早就对这种挖矿恶意木马有所耳闻,真是恶心到家。
找定时任务 https://web.scut.edu.cn/2022/0413/c32211a467496/page.htm
但是没卵用。。。没有找到任何关联的可疑定时任务。
赶紧翻邮件:
查看硬件资源历史:
种种迹象证明,的确是被挖矿木马黑掉了。。
通过邮件内给出的进程链分析,黑入者可能是通过redis的某些漏洞进行攻击的。也就是说通过redis来搞的事情。。
彻查redis。
最终,找到了一个我没有见过的key: backup1. 值是一个定时的执行脚本。。
打开这个脚本地址,都是些低级命令
最终处理办法:
停掉redis,清除数据,强化复杂密码,对关键服务做IP访问限制和端口开放的权限。
我的是被第三方插件黑的 因为用了很多插件 插件被黑 所以我也貌似被影响了